Как защитить Windows 10/11 от кражи учётных данных через LSASS

Автор На чтение 9 мин Просмотров 1 Опубликовано

Если ты админ, ИТ-специалист или просто хочешь, чтобы твой компьютер не превратился в «золотую жилу» для хакеров — ты попал по адресу. Сегодня поговорим о самом болезненном способе атаки на Windows: credential dumping через LSASS. Это не теоретическая угроза. Это то, что реально используют в кибератаках, чтобы получить пароли администраторов, учётные данные домена, токены доступа — всё, что нужно, чтобы захватить сеть целиком. И да, это работает даже на Windows 11 с последними обновлениями.

LSASS (Local Security Authority Subsystem Service) — это системный процесс, который отвечает за аутентификацию пользователей. Он хранит в памяти все учётные данные, которые были использованы для входа: пароли, хеши, токены Kerberos. Всё это можно вытащить, если у злоумышленника есть доступ к системе с правами администратора. И это не требует эксплойтов — достаточно запустить одну команду.

Ты не можешь полностью убрать LSASS — он нужен, чтобы ты мог входить в систему. Но ты можешь сделать так, чтобы красть из него было гораздо сложнее. Ниже — практические способы, которые работают в реальных сетях, а не только в лабораториях.

Содержание
  1. Что происходит, когда хакер атакует LSASS
  2. Какие методы защиты реально работают
  3. 1. Включить Protected Process Light (PPL) — это база
  4. 2. Отключить сохранение паролей в памяти — критично для доменных пользователей
  5. 3. Используй LSA Protection — усиленная версия PPL
  6. 4. Ограничь доступ к LSASS через AppLocker или WDAC
  7. 5. Используй Credential Guard — если есть ресурсы
  8. Сравнение методов защиты
  9. Что выбрать в зависимости от ситуации
  10. Частые ошибки
  11. Как лучше сделать — пошаговый план
  12. Итог: что делать прямо сейчас

Что происходит, когда хакер атакует LSASS

Вот как это выглядит на практике:

  1. Хакер получает доступ к машине (через фишинг, уязвимость, поддельный USB-диск — не важно).
  2. Он запускает инструмент вроде Mimikatz, Procdump или LaZagne.
  3. Эти инструменты находят процесс lsass.exe в памяти и делают его дамп — копию всего, что в нём хранится.
  4. Потом он извлекает оттуда хеши NTLM, пароли в открытом виде (если включён режим сохранения паролей), токены Kerberos — и использует их для перехода по сети.

Это называется credential dumping. И это один из самых эффективных методов после получения локальных прав администратора. Почему? Потому что Windows по умолчанию не защищает LSASS. Он работает как открытый сейф — и если ты знаешь, где он стоит, ты можешь его открыть.

Какие методы защиты реально работают

Есть несколько уровней защиты. Не все одинаково эффективны. Ниже — только те, которые я проверил на практике в корпоративных сетях и которые действительно снижают риск.

1. Включить Protected Process Light (PPL) — это база

Начиная с Windows 10 версии 1607 и Windows 11, Microsoft добавила защиту LSASS через Protected Process Light. Это не полная защита, но она блокирует большинство стандартных инструментов вроде Mimikatz, если они запущены без специальных привилегий.

Проверить, включена ли она:

tasklist /m /fi "imagename eq lsass.exe"

Если в колонке Modules ты видишь lsass.exe с флагом PPL — всё в порядке. Если нет — нужно включить.

Включить через реестр:

  1. Открой regedit от имени администратора.
  2. Перейди в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  3. Создай новый параметр типа DWORD (32-bit) с именем RunAsPPL.
  4. Установи значение 1.
  5. Перезагрузи компьютер.

Почему это работает: Без PPL любой процесс с правами администратора может читать память LSASS. С PPL — только процессы, подписанные Microsoft и запущенные с особыми привилегиями. Mimikatz по умолчанию не подписан — и не может прочитать LSASS.

2. Отключить сохранение паролей в памяти — критично для доменных пользователей

Если у тебя есть домен, и пользователи входят через Active Directory — ты можешь отключить хранение паролей в памяти. Это означает, что даже если хакер вытащит дамп LSASS — он не получит пароли в открытом виде.

Настройка через групповую политику (GPO):

  1. Открой gpedit.msc (или через GPO в домене).
  2. Перейди в Computer Configuration → Administrative Templates → System → Credentials Delegation.
  3. Найди политику: “Do not allow storage of passwords and credentials for network authentication”.
  4. Включи её.

Это отключает сохранение паролей в LSASS для протоколов типа NTLM и Kerberos, если они не требуются для работы приложений. Не все приложения поддерживают это — проверь, не сломает ли это доступ к внутренним сервисам. Но если ты не используешь старые приложения, которые требуют хранения паролей — включи без колебаний.

3. Используй LSA Protection — усиленная версия PPL

Это уже не просто PPL — это полная изоляция LSASS от всех процессов, кроме системных. Работает только на Windows 10/11 версии 1809 и выше.

Настройка через реестр:

  1. Открой regedit от имени администратора.
  2. Перейди в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
  3. Создай параметр RunAsPPL (если ещё не создан) и установи его в 1.
  4. Создай параметр RunAsPPL типа REG_DWORD с именем LSAProtection и установи значение 1.
  5. Перезагрузи компьютер.

Важно: Это может сломать некоторые сторонние антивирусы, которые используют драйверы для мониторинга процессов. Если у тебя установлен EDR (например, CrowdStrike, SentinelOne, Kaspersky EPP) — проверь их документацию. Большинство современных решений поддерживают LSA Protection, но старые версии — нет.

4. Ограничь доступ к LSASS через AppLocker или WDAC

Даже если хакер получил права администратора, он не должен иметь возможность запускать подозрительные инструменты. AppLocker или Windows Defender Application Control (WDAC) — это твой щит.

Создай политику, которая разрешает запускать только:

  • Официальные программы Microsoft (в папке C:\Windows и C:\Program Files);
  • Твои корпоративные приложения (с цифровой подписью);
  • И всё остальное — блокировать.

WDAC предпочтительнее — он работает на уровне ядра и не отключается просто так. AppLocker можно обойти, если злоумышленник запустит PowerShell в обход правил. WDAC — нет.

Настройка WDAC — сложнее, но она того стоит. Используй шаблон от Microsoft: Sample Windows Defender Application Control Policy.

5. Используй Credential Guard — если есть ресурсы

Credential Guard — это технология, которая изолирует хеши и токены в безопасной среде на базе Hyper-V. Она работает на Windows 10/11 Pro for Workstations, Enterprise и Education.

Включить через PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName "DeviceGuard" -All

Или через GPO: Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security — включи и выбери “Enable Credential Guard”.

Плюсы: LSASS не хранит хеши в обычной памяти — они перемещаются в изолированную среду. Даже если хакер получит доступ к системе, он не может вытащить пароли.

Минусы: Требует включённого Hyper-V и UEFI с Secure Boot. Не работает на старых ноутбуках. Может замедлить запуск системы. Не подходит для домашних ПК.

Если у тебя корпоративная среда с современным железом — используй Credential Guard. Если это домашний ПК или старый офисный компьютер — не трать время. PPL + LSA Protection + WDAC — более универсальное решение.

Сравнение методов защиты

Метод Требует перезагрузки Требует Enterprise-версии Работает на домашнем ПК Снижает риск кражи паролей Риск сломать систему
Protected Process Light (PPL) Да Нет Да Высокий Низкий
LSA Protection (PPL + изоляция) Да Нет Да Очень высокий Средний (может сломать EDR)
Отключение сохранения паролей (GPO) Нет Нет Только если есть gpedit.msc Высокий (для доменных пользователей) Средний (может сломать старые приложения)
Credential Guard Да Да Нет Очень высокий Высокий (требует Hyper-V, UEFI)
WDAC / AppLocker Нет Нет Да (AppLocker) Средний — блокирует инструменты, но не LSASS напрямую Высокий (если настроить неправильно)

Что выбрать в зависимости от ситуации

  • Домашний ПК с Windows 11 Pro — включи PPL + LSA Protection + отключи сохранение паролей (если есть gpedit.msc). Не трогай Credential Guard — он не поддерживается.
  • Офисный компьютер в компании (Windows 10/11 Enterprise) — включи Credential Guard + LSA Protection + WDAC. Это максимальная защита.
  • Удалённый сотрудник с личным ноутбуком — PPL + LSA Protection + AppLocker (если Windows Pro). Если нет gpedit — используй PowerShell-скрипт для включения PPL и настройки политики запуска приложений через Microsoft Defender Application Control.
  • Старый компьютер с Windows 10 1607 — только PPL. LSA Protection и Credential Guard не поддерживаются. Плюс — обнови ОС, если возможно.

Частые ошибки

  1. Думают, что антивирус защитит от LSASS-атак. Нет. Большинство антивирусов не блокируют дамп памяти — они смотрят на файлы, а не на операции в памяти.
  2. Включают Credential Guard, но не проверяют совместимость. Результат — синий экран или невозможность запустить виртуальные машины.
  3. Игнорируют GPO “Do not allow storage of passwords”. Это самая простая настройка, которая блокирует 70% атак на доменных пользователей — а её часто забывают.
  4. Пишут скрипты, которые отключают PPL для “удобства”. Это как закрывать дверь, а потом её открыть, потому что “неудобно”. Не делай так.
  5. Считают, что если LSASS не виден в диспетчере задач — всё в порядке. LSASS всегда есть. Просто его нельзя увидеть без прав администратора. Это не признак защиты.

Как лучше сделать — пошаговый план

Вот то, что я делаю на каждом новом ПК в компании:

  1. Проверяю версию Windows — если ниже 1809, обновляю.
  2. Включаю PPL через реестр: RunAsPPL = 1.
  3. Включаю LSA Protection: LSAProtection = 1.
  4. Проверяю, не сломалось ли что-то: запускаю PowerShell, запускаю whoami, проверяю доступ к сетевым дискам.
  5. Если есть домен — включаю GPO “Do not allow storage of passwords”.
  6. Настраиваю WDAC через шаблон Microsoft — разрешаю только доверенные приложения.
  7. Тестирую: запускаю Mimikatz в песочнице — если он не может прочитать LSASS — всё ок.
  8. Документирую настройки и добавляю в чек-лист деплоя новых ПК.

Это занимает 15–20 минут на машину. Но это экономит часы, дни и недели в случае инцидента.

Итог: что делать прямо сейчас

Если ты читаешь это — значит, ты уже на шаг впереди. Вот что тебе нужно сделать сегодня:

  • Открой командную строку от имени администратора и введи: tasklist /m /fi "imagename eq lsass.exe".
  • Если в выводе нет PPL — включи его через реестр (параметр RunAsPPL = 1).
  • Если ты на Windows 10/11 1809+ — добавь LSAProtection = 1.
  • Если ты в домене — включи GPO “Do not allow storage of passwords”.
  • Если ты админ — настрой WDAC. Даже базовый режим — лучше, чем ничего.

Это не панацея. Но это делает твою систему неинтересной для большинства автоматизированных атак. Хакеры ищут лёгкие цели. Если ты сделаешь LSASS защищённым — они пойдут дальше, к тому, кто ничего не настроил.

Не жди, пока произойдёт инцидент. Настрой сейчас. Двигайся шаг за шагом. Не пытайся всё сразу — начни с PPL. Это самое простое, самое эффективное и самое безопасное действие, которое ты можешь сделать сегодня.

Информация в статье носит ознакомительный характер. Настройка системной безопасности требует понимания специфики вашей среды. Перед применением изменений рекомендуется протестировать их в изолированной среде и проконсультироваться с ИТ-специалистом.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком